Etude de Dell SecureWorks : la lutte contre les réseaux de zombies ne donnent pas de résultats à long terme

D’après une nouvelle étude réalisée par Dell SecureWorks et présentée lors de la dernière conférence RSA qui a eu lieu à San Francisco, les réseaux de zombies bancaires représentent toujours une menace malgré les opérations "coup de poing" menées contre ceux-ci qui provoquent uniquement des effets à court terme.

Depuis le milieu de l’année 2014 jusqu’au début de l’année 2015, les efforts conjoints des autorités policières et judiciaires et d’entreprises du secteur privé ont permis de démanteler trois des réseaux de zombie bancaires les plus actifs. Deux opérations indépendantes ont été menées contre les réseaux de zombies Gameover Zeus et Shylock. Lors de l’opération Tovar, les experts en sécurité ont pu exploiter un défaut dans la conception du réseau p2p de Gameover Zeus afin d’intervenir dans la liste des nœuds et de rediriger le trafic vers des nœuds contrôlés par les chercheurs, ce qui a débouché sur le démantèlement de l’infrastructure du réseau de zombies. Quelques semaines plus tard, lors d’une autre opération internationale, des serveurs de commande et des noms de domaine liés à l’infrastructure de Shylock ont été saisis. En 2015, Europol, en collaboration avec les autorités judiciaires et policières et des représentants du secteur, a saisi les serveurs et d’autres éléments importants de l’infrastructure gérée par le groupe qui se cache derrière le réseau de zombies Ramnit.

Les cybercriminels se sont vite adaptés aux contre-mesures et aux opérations organisées contre leurs infrastructures. Ils ont amélioré leurs programmes et créé de nouveaux réseaux de zombies bancaires intelligents L’émergence de nouvelles technologies entraîne la création de nouvelles menaces. Ainsi, l’année 2014 aura été témoin des premières attaques contre les plateformes de service de banque électronique via appareils nomades tandis que les méthodes employées pour déjouer l’authentification standard ont été également été améliorées.

L’analyse de l’activité des réseaux de zombies bancaires pour l’année 2014 et le début de l’année 2015 réalisée par le service de réaction face aux menaces (Counter Threat Unit, CTU) de Dell SecureWorks a permis de tirer quelques conclusions importantes :

  • Outre les sites de services de banque électronique, les sites de finances d’entreprise, les sites de gestion de la paie, les bourses, les réseaux sociaux, les services de messagerie électroniques, les portails de recherche d’emploi, les sites de divertissements, les hébergeurs, les opérateurs de téléphonies et les sites de rencontre sont également attaqués.
  • Les individus malintentionnés utilisent des Trojans bancaires pour mener des attaques contre plus de 1 400 institutions financières de plus de 80 pays.
  • Plus de 90 % des Trojans bancaires attaquent des institutions financières établies aux Etats-Unis, sans oublier les attaques contre des institutions en Grande-Bretagne, en Allemagne, en Italie, en Espagne et en Australie.
  • Les individus malintentionnés se concentrent sur les cibles qui se trouvent dans des pays asiatiques car les mesures de sécurité appliquées aux comptes des clients des institutions financières de la région sont plus faibles.
  • Gameover Zeus et Shylock ont laissé la place à Dyre, Bugat v5 (connu également sous le nom de Dridex) et Vawtrak (variante Gozi).
  • Les réseaux de zombies reposent de plus en plus sur les services de réseaux secrets comme Tor ou I2P qui les protègent contre la détection et le démantèlement de leur infrastructure.
  • L’activité de Zeus et de ses versions a chuté lors du deuxième trimestre 2014, tandis que l’activité de Dyre, Gozi/Vawtrak et Bugat v5 a sensiblement augmenté.
  • Dyre et Bugat v5 contiennent même des services de diffusion de courrier indésirable, ce qui constitue un changement par rapport au modèle "spam en tant que service" utilisé par les autres réseaux de zombies.
  • Kegotip, Chanitor, Upatre et Lerspeng figurent de plus en plus souvent parmi les téléchargeurs utilisés lors de la première étape de l’infection.

Source : http://www.secureworks.com/cyber-threat-intelligence/threats/banking-botnets-persist-despite-takedowns/

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *